sat Posted June 20, 2013 Posted June 20, 2013 Прошу критики и рекомендаций как лучше сделать DMZ в небольшой локальной сети небольшой организации. Опишу схему, представленную на картинке. Два провайдера, небольшие каналы в интернет (20мб/с каждый), каждый провайдер отдает full-view. Есть мой диапазон адресов xx.xx.152.0/24. BGP на роутере R1, который Cisco 2851. Пока он занят только BGP. У него 2 встроенных интерфейса GE и модуль hwic-4esw. В один порт модуля воткнут кабель до R2 (Cisco 2921), который и будет NATить компы локальной сети и он же файрвол (ниже R2 обрезано специально, пока к рассматриваемой ситуации отношения не имеет). Во второй порт модуля hwic-4esw в R1 воткнут кабель до коммутатора SW1, в который уже и будут подключаться устройства в DMZ. в DMZ планируется vpn-сервер на базе циски и несколько виртуалок, которым нужны белые адреса. На модуле hwic-4esw пока просто настроил единственный vlan с внешним адресом, чтобы проверить как работает. Пока в раздумье каким образом настроить так, чтобы DMZ был с белыми адресами и на R2 попал один белый адрес для дальнейшего НАТа в локалку. Понятно, что можно оставить hwic-4esw в одном влане и не париться, но понимаю, что это не совсем правильно. Модулей с дополнительными полноценными портами FE или GE (маршрутизируемыми) в R1 нет, к сожалению. Да и стоят они столько, что ужас просто. Порекомендуйте, пожалуйста, схему реализации DMZ на моем оборудовании. Чтобы сделать "правильно", по-взрослому. Спасибо. Вставить ник Quote
rover-lt Posted June 20, 2013 Posted June 20, 2013 Порекомендуйте, пожалуйста, схему реализации DMZ на моем оборудовании. Чтобы сделать "правильно", по-взрослому. Спасибо. Обратиться к интегратору. Будет "по-взрослому", без трусов и с бааааальшим бюджетом. Вставить ник Quote
sat Posted June 20, 2013 Author Posted June 20, 2013 Потратить кучу денег я всегда успею, хотя вряд ли мне ее выделят. Хотел послушать вариант "а я бы сделал так...". Я же не прошу разработать план внедрения с конфигами и бюджетами. Лишь в каком направлении мыслить. Вставить ник Quote
Ivan_83 Posted June 20, 2013 Posted June 20, 2013 Определись с тем что вам нужно и сделайте, в чём проблема? Вставить ник Quote
dignity Posted June 21, 2013 Posted June 21, 2013 (edited) Лучше sw1 между r1 и r2. Управляемость и возможности шире. Вообще, у juniper есть типовые схемы dmz в мануалах к netscreen. А, тогда fw должен быть и на r1 и на r2 В данной топологии, у вас, потенциально, трафик и локальный и внешний идут через одни пути (r1), что не айс в ситуациях компрометации. Интересная статья: http://faqman.ru/publikaciya-serverov/metody-publikacii-dns-chast-vtoraya-topologiya.html Edited June 21, 2013 by dignity Вставить ник Quote
-Pave1- Posted June 21, 2013 Posted June 21, 2013 (edited) Ну очевидно порезать твою белую /24 сетку на 4 куска - один из них сделать транзитным, оставшиеся терминировать на твоем файерволе. Или сделать транзитную серую сетку. Делать олдскульную DMZ с 2 файерволами - я бы точно не стал) Да и париться не стоит сильно по поводу путей трафика. С трудом представляю в энтерпрайзе DMZ сервисы, которым нужен большой трафик внутрь. ИМХО проблема надуманная абсолютно, с учетом использования гигабитных интерфейсов. Edited June 21, 2013 by -Pave1- Вставить ник Quote
snark Posted June 21, 2013 Posted June 21, 2013 Сааб, ну где же наш Сааб со своим МТ? :) Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.